Hallo.. ich bin seit über 20 Jahren begeisterter Linux ( Anwender ). Habe in den 20 Jahren nicht eine Minute mit diversen Linux Distris bereut. Eines ist mir nur auch nach 20 Jahren noch schleierhaft, wie wertet man logfiles im Bezug auf security Themen aus. Gibt es zum heutigen Zeitpunkt eine Art oder mehrere third party Software tools, die helfen so etwas zu realisieren? Ich würde gerne lernen wie man z.b Fehler z.b durch security relevante Themen erkennt und ggf. Maßnamen einleitet. Im Bezug auf diverser anderer Betriebssysteme ist der Fall ja im großen und ganzen klar, zumeist nutzt man Antiviren Software die z.b heuristisch fungieren, oder ggf. eine Software Firewall nebst Router. Ich habe nie der gleichen, sprich: Antiviren Software oder Zusätzliche Firewalls für nötig gehalten auf Linux Systemen und denke das ich relativ gut damit gefahren bin. Ich möchte meinen Horizont auf meine alten Tage doch noch etwas erweitern, um ggf. einmal ein Linux System ohne Hilfe oder ä. auf Fehler bzw. die Logs einmal besser zu verstehen. Darum möchte ich um Hilfe bitten. Grüße
-
Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.
Würde gerne mehr über mein eigenes System in Erfahrung bringen
- Ersteller Formell
- Erstellt am
Hallo Formell,
herzlich willkommen im Linux-Club-Forum.
Da Du nach Werkzeugen suchst, solltest Du zumindest angeben, welche Linux-Distribution Du verwendest.
Weiterhin solltest Du beschreiben, welches die "security-relevanten Themen" konkret sind zu denen Du Informationen/Unterstützung suchst. Je konkreter und abgegrenzter das Thema Deiner Anfrage ist, um so größer ist die Wahrscheinlichkeit, dass Du eine Antwort erhältst.
Damit Du Dir einen ersten Eindruck zum Thema Linux und Security verschaffen kannst, hier, am Beispiel openSUSE Leap, etwas Stoff zum schmökern.
Viele Grüße
susejunky
herzlich willkommen im Linux-Club-Forum.
Da Du nach Werkzeugen suchst, solltest Du zumindest angeben, welche Linux-Distribution Du verwendest.
Weiterhin solltest Du beschreiben, welches die "security-relevanten Themen" konkret sind zu denen Du Informationen/Unterstützung suchst. Je konkreter und abgegrenzter das Thema Deiner Anfrage ist, um so größer ist die Wahrscheinlichkeit, dass Du eine Antwort erhältst.
Damit Du Dir einen ersten Eindruck zum Thema Linux und Security verschaffen kannst, hier, am Beispiel openSUSE Leap, etwas Stoff zum schmökern.
Viele Grüße
susejunky
Hallo susejunky, ich halte mich zur Zeit an eine große Distribution, die sich mit dem Thema security auseinander setzt. Der Name ist Qubes OS, ich nutze das System um mehr über die security Welt zu erfahren, habe dieses und jenes damit realisiert. Ich bin allerdings nicht ganz so fortgeschritten mit diversen Themen bezüglich Qubes OS vertraut so dass ich an der Machbarkeit und Installations Möglichkeit scheitere. Ich hoffe insgeheim das es hier auch ein paar User gibt die diese Linux Distri nutzen und evtl. etwas Hilfestellung geben könnten. Evtl. sollte ich mich auch direkt an das Forum für diese sehr spezielle Linux Version richten. Denn man kann z.b nicht alles auf der Host Ebene dom0 installieren.
Hallo Formell,
Ich persönlich nutze ausschließlich openSUSE Tumbleweed. Das bietet zwar auch die Möglichkeit mittels Xen zu virtualisieren, aber ich muss gestehen, das war mir bislang immer zu aufwendig; d.h. ich kann Dir keine Unterstützung anbieten.
Soweit ich das Prinzip von Qubes OS verstehe, werden dort bestimmte Anwendungen in virtuellen Maschinen installiert und betrieben, um sie so vom Rest des Systems zu isolieren. Da dom0 die Xen-Verwaltungs-Maschine ist, kann ich mir gut vorstellen, dass bestimmte Anwendungen in dom0 nicht installiert werden können. Wenn ich mich an meine Versuche mit openSUSE und Xen richtig erinnere, so gab es da auch den Hinweis dom0 nur zur Administration, nicht aber zur "normalen Arbeit" zu nutzen.
Aber wie ich bereits sagte: Ich kann Dir weder zu Qubes OS noch zu Xen weiterhelfen.
Viele Grüße
susejunky
ob es hier im Forum "Qubes OS"-Expertise gibt, wird sich zeigen müssen.
Ich persönlich nutze ausschließlich openSUSE Tumbleweed. Das bietet zwar auch die Möglichkeit mittels Xen zu virtualisieren, aber ich muss gestehen, das war mir bislang immer zu aufwendig; d.h. ich kann Dir keine Unterstützung anbieten.
Soweit ich das Prinzip von Qubes OS verstehe, werden dort bestimmte Anwendungen in virtuellen Maschinen installiert und betrieben, um sie so vom Rest des Systems zu isolieren. Da dom0 die Xen-Verwaltungs-Maschine ist, kann ich mir gut vorstellen, dass bestimmte Anwendungen in dom0 nicht installiert werden können. Wenn ich mich an meine Versuche mit openSUSE und Xen richtig erinnere, so gab es da auch den Hinweis dom0 nur zur Administration, nicht aber zur "normalen Arbeit" zu nutzen.
Aber wie ich bereits sagte: Ich kann Dir weder zu Qubes OS noch zu Xen weiterhelfen.
Viele Grüße
susejunky
Danke einmal für die Aufmerksamkeit, ich habe schon bemerkt das ich in einem Fachforum, wenn es speziell um Qubes OS geht besser aufgehoben wäre. Ich kann ja auch jeder Zeit eine VM im besagten Q z.b mit Opensuse laufen lassen. Ich allerdings war bisher immer Leap User, einer meiner ersten schönen Erfahrungen mit alternativ Betriebssystemen. Grüße
Sorry, meine Erfahrungen zu Qubes sind bedauerlich angestaubt und aktuell habe ich keines mehr im Zugriff.
dom0 ist die Xen-Ebene des HyperVisors, dort sollte man wie schon gesagt keine Anwendungslogik installieren. Aber es wäre schon ein interessanter Ort, um beispielsweise zentrale Netzwerkanalysen durchzuführen.
dom0 ist die Xen-Ebene des HyperVisors, dort sollte man wie schon gesagt keine Anwendungslogik installieren. Aber es wäre schon ein interessanter Ort, um beispielsweise zentrale Netzwerkanalysen durchzuführen.
Geier0815
Guru
Technischer Ansatz, dom0 etc, gut und schön aber das bringt dich bei deinem eigentlichen Thema nicht weiter.
Du scheinst die Hoffnung zu haben das man mit ein paar "Tools" und ein paar Tricks irgendwelches Geheimwissen aus den Logs ziehen kann, aber so geht das nicht. Du brauchst zu den Themen, die Du beackern willst, auf jeden Fall Grundlagenwissen. "Wie funktioniert ein Netzwerk? Wie http? Wie Mail? etc" So als ganz simple Sachen zum Thema Netzwerke, die Anwendungen die darauf laufen und ihre Bedrohungen. Und mit diesem Wissen guckst Du dir regelmäßig deine logs an um ein Gefühl dafür zu bekommen was normale Meldungen sind und wodurch sie verursacht werden. Dann erkennst Du auch Dinge die ungewöhnlich sind und kannst dir dann Gedanken darum machen wodurch sie ausgelöst werden.
Und das fängt mit dem Netzwerkthema noch nicht mal an. Fragen wie "Warum arbeitet meine Festplatte gerade obwohl ich nichts mache?" bringen dich dann ziemlich in die Tiefe des Betriebssystems und zu einem lebenslangen Lernen.
Alle möglichen Tools die dir Versprechen dir dieses Lernen abzunehmen, wiegen dich in trügerischer Sicherheit.
Sorry wenn das jetzt ziemlich negativ klingt, ist nicht böse gemeint oder gar gegen dich gerichtet aber es hat schon seinen Grund warum es Experten für Sicherheitsthemen gibt und diese ziemlich lange brauchen um gut zu werden. Und die sind dann meist auch nur auf wenige Themen beschränkt, dafür gibt es viel zu viel zu wissen und zu verstehen.
Ein halbwegs vernünftiger Ansatz wäre, dass Du dir genau überlegst welche Dienste Du betreibst und welche Bedrohungen Du für diese als realistisch ansiehst. Jemand der einen Webserver betreibt ist anderen Bedrohungen ausgesetzt als jemand der ein Netzwerk administriert. Anhand dieser Überlegung fängst Du an zu lernen wie die Dinge funktionieren, welche potentielle Bedrohungsszenarien es gibt und wie wahrscheinlich sie auf dich zutreffen können. Und daraus folgt dann wieder der Ansatz: gucken was normalerweise in den Logs steht, warum es da steht und erkennen wenn etwas ungewöhnlich ist.
Du scheinst die Hoffnung zu haben das man mit ein paar "Tools" und ein paar Tricks irgendwelches Geheimwissen aus den Logs ziehen kann, aber so geht das nicht. Du brauchst zu den Themen, die Du beackern willst, auf jeden Fall Grundlagenwissen. "Wie funktioniert ein Netzwerk? Wie http? Wie Mail? etc" So als ganz simple Sachen zum Thema Netzwerke, die Anwendungen die darauf laufen und ihre Bedrohungen. Und mit diesem Wissen guckst Du dir regelmäßig deine logs an um ein Gefühl dafür zu bekommen was normale Meldungen sind und wodurch sie verursacht werden. Dann erkennst Du auch Dinge die ungewöhnlich sind und kannst dir dann Gedanken darum machen wodurch sie ausgelöst werden.
Und das fängt mit dem Netzwerkthema noch nicht mal an. Fragen wie "Warum arbeitet meine Festplatte gerade obwohl ich nichts mache?" bringen dich dann ziemlich in die Tiefe des Betriebssystems und zu einem lebenslangen Lernen.
Alle möglichen Tools die dir Versprechen dir dieses Lernen abzunehmen, wiegen dich in trügerischer Sicherheit.
Sorry wenn das jetzt ziemlich negativ klingt, ist nicht böse gemeint oder gar gegen dich gerichtet aber es hat schon seinen Grund warum es Experten für Sicherheitsthemen gibt und diese ziemlich lange brauchen um gut zu werden. Und die sind dann meist auch nur auf wenige Themen beschränkt, dafür gibt es viel zu viel zu wissen und zu verstehen.
Ein halbwegs vernünftiger Ansatz wäre, dass Du dir genau überlegst welche Dienste Du betreibst und welche Bedrohungen Du für diese als realistisch ansiehst. Jemand der einen Webserver betreibt ist anderen Bedrohungen ausgesetzt als jemand der ein Netzwerk administriert. Anhand dieser Überlegung fängst Du an zu lernen wie die Dinge funktionieren, welche potentielle Bedrohungsszenarien es gibt und wie wahrscheinlich sie auf dich zutreffen können. Und daraus folgt dann wieder der Ansatz: gucken was normalerweise in den Logs steht, warum es da steht und erkennen wenn etwas ungewöhnlich ist.